2023年度 App侵害用户权益检测报告-2024.02

目

录第一章

研究背景

...............................................................

1一、

检测引擎

..................................................................................1二、

检测依据

..................................................................................2三、

检测内容

..................................................................................2四、

数据范围

..................................................................................3第二章

违规收集个人信息分析.........................................

4一、

违规收集个人信息

APP分类情况

...........................................4二、

无提示收集个人信息检出率情况

...........................................5三、

无提示收集个人信息类型分布情况........................................5四、

高频次收集个人信息情况分析

...............................................7五、

违规个人信息收集者分析

.......................................................8第三章

总结与建议...........................................................10一、

影响评估

................................................................................10二、

总结&建议

..............................................................................10附录

奇安信病毒响应中心

...............................................11附录

奇安信病毒响应中心移动安全团队.........................12附录

奇安信移动安全产品介绍........................................13附录

名词解释..................................................................14第一章

研究背景随着互联网和移动设备的发展，手机已成为人人都拥有的设备，其中各式各样的

APP更是丰富了人们的生活，从社交到出行、从网购到外卖，从办公到娱乐等，APP已成为大众生活必需品，但也因此暴露出

APP收集个人信息的风险。为切实加强用户个人信息保护，为人民群众提供更安全、更健康、更干净的信息环境，国家工业和信息化部为此发布了一系列的相关法律法规和监管标准通知，并在全国范围组织开展

APP违法违规收集使用个人信息专项治理。2023年度，奇安信病毒响应中心共收录全国应用市场新收录新更新

APP近

80万个。本报告依据《工业和信息化部关于开展

APP侵害用户权益专项整治工作的通知》工信部信管函〔2019〕337

号文件、《工业和信息化部关于开展纵深推进

APP

侵害用户权益专项整治行动的通知》工信部信管函〔2020〕164号文件和《APP违法违规收集使用个人信息行为认定方法》等内容要求，使用奇安信完全自主研发安卓动态引擎

QADE（后文统称奇安信QADE引擎）对

2023年年应用市场新收录新更新的头部主流

APP抽样检测。该检测主要是为了评估当下

APP侵害用户权益的问题，并提供相应的技术支持和参考。一、

检测引擎本次检测采用奇安信

QADE引擎。奇安信

QADE引擎是首款既支持对

APP进行传统恶意检测，并支持对违规收集个人信息及索取权限检测等

APP当下流行问题进行检测的综合一体化动态引擎。此次检测采用该引擎对违规收集个人信息进行检测。这个问题也是

APP侵害用户权益问题中比较常见且影响较深的问题。1二、

检测依据此次

APP收集个人信息检测，我们参考了以下相关的国家法律法规作为检测标准依据：

《网络安全法》

《电信和互联网用户个人信息保护规定》

《GB/T35273-2020信息安全技术个人信息安全规范》

《工业和信息化部关于开展

APP

侵害用户权益专项整治工作的通知》（工信部信管函〔2019〕337号）

《工业和信息化部关于开展纵深推进

APP

侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164号）

《APP违法违规收集使用个人信息行为认定方法》三、

检测内容在对

2023年度应用市场新收录的

APP抽查发现，存在相当部分

APP在未经用户同意就开始收集用户个人信息，个别应用还频繁收集用户个人信息;这些违规行为不仅影响了用户的使用体验，并且严重侵害了用户个人隐私。所以，我们根据《工业和信息化部关于开展

APP侵害用户权益专项整治工作的通知》工信部信管函〔2019〕337号文件、《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》工信部信管函〔2020〕164

号文件、《关于开展纵深推进

APP

侵害用户权益专项整治行动的通知》第三条以及《网络安全法》第四章对收录的

APP进行检测，此次

APP收集个人信息检测，我们使用了奇安信

QADE引擎对以下侵害用户权益的检测内容进行自动化检测：

违规收集个人信息：21.

无提示收集个人信息检测存在无隐私说明提示或者未点同意隐私协议便开始收集用户个人信息。2.

高频次收集个人信息检测存在按频率(每百秒的收集次数)收集用户个人信息。四、

数据范围检测周期为

2023年

1月

1日至

2023年

12月

31日应用市场的新收录新更新数据，主要来源于

34

个应用市场，其中应用数量最多的分别是华为应用市场、360手机助手应用市场和豌豆荚应用市场。3第二章

违规收集个人信息分析一、

违规收集个人信息

APP分类情况本次检测到的违规收集个人信息问题的

APP中，生活休闲和网上购物的

APP违规占比最高，分别占比

18.5%和

12.0%。存在违规收集个人信风险的

APP类型分布具体情况可见下图：4二、

无提示收集个人信息检出率情况在本次检测抽检的头部主流

APP中，发现

34262个

APP存在无提示收集个人信息，占比

4.3%。纵观

2023年上半年和下半年的检出情况，下半年的检出率（2.0%）较上半年检出率（5.9%）稍呈下降趋势。具体分布如下图所示：三、

无提示收集个人信息类型分布情况根据《GB/T

35273-2020

信息安全技术个人信息安全规范》中的个人信息内容定义，奇安信

QADE

引擎进行了收集个人信息的类型检测。我们发现此次检测到的无提示收集个人信息的类型主要有

4个。其中主要为个人常用设备信息

Android

ID，其次i为个人常用设备信息

IMEIii、个人常用设备信息

MAC

地址iii和个人常用设备信息

Serial

Numberiv；同时，我们还发现存在个别APP还收集了用户的定位信息、用户当前电话号码和用户已安装应用信息。在此次

2023

年度检测中，APP

无提示收集信息类型排名前四的依次为：Android

ID（占比

73.9%）、IMEI（占比

58.5%）、MAC地址（占比

34.6%）以及

Serial

Number(占比

27.3%)。具体5APP无提示收集个人信息的类型及占比分布如下图所示：从

2023年上半年和下半年来看，Android

ID、IMEI、MAC地址和

Serial

Number

这四类无提示收集个人信息的

APP

占比在逐步减少。其中

Android

ID从

76.5%下降到

65.6%，占比下降了10.9个百分比，IMEI下降了

10.8个百分比。MAC地址占比下降最多，下降了

15.8个百分比。从不同类型无提示收集信息的

APP在上半年和下半年的占比情况来看，占比最大的无提示收集信息类型始终是

Android

ID，其次为

IMEI和

MAC地址。具体分布如下图所示：6四、

高频次收集个人信息情况分析本文中，我们将一百秒内，单个

APP收集个人信息次数大于等于

2次的行为定义为存在“高频次收集个人信息”问题。2023

年度检测中，违规收集个人信息的

APP

中有

58.8%的APP还存在高频次收集个人信息，高频次收集个人信息情况依然较为严重，下半年高频次收集个情况和上半年相比情况稍好，下半年高频次收集下降了

13.6个百分比。其中最高一款

APP在短短一百秒对个人信息

IMEI收集了

440次。高频次收集个人信息主要还是集中在

Android

ID、IMEI和MAC地址中，在收集

Android

ID和

IMEI的

APP中，平均每个

APP都收集了至少

4次。本次检出的高频次收集个人信息的

APP中，大部分

APP高频次收集次数主要集中在

2~5

次，占比

65.5%，其次是

6~10

次占比

20.0%和

11~20次占比

8.8%，超过

20次的占比也达到了

5.7%。详细分布可见图表：7五、

违规个人信息收集者分析本次检测到的违规收集个人信息问题的

APP中，有

74.4%的APP包含了第三方

SDK收集情况。下半年和上半年相比，第三方SDK收集情况并无太大变化。这意味着当前多数

APP自身不存在违规收集个人信息行为，主要还是集成了第三方

SDK后而造成的APP出现违规收集个人信息问题。在本次

2023

年度检测中，在违规收集个人信息第三方

SDK中，排名靠前的

SDK都为市场知名

SDK，其中一知名

SDK占比高达

23.2%，具体分布如图：8本次检测到的包含第三方

SDK违规收集个人信息问题的

APP中，大部分

APP都是由于集成了一款违规

SDK而导致违规，这部分占比

71.2%，少部分

APP集成至少两款违规收集个人信息的第三方

SDK，占比

28.8%。具体占比情况如图：9第三章

总结与建议一、

影响评估此次检测到侵犯用户权益的

APP中（存在违规收集个人信息），我们发现其中有

21

款

APP

下载量在亿次以上，有

111

款APP下载量在千万次以上，183款

APP

下载量在百万次以上。可见

APP侵害用户权益问题的影响面非常广，至少影响到上亿用户。二、

总结&建议从

2023

年度检测的结果来看，在国家相关的法律法规下，今年侵害用户权益

APP

的检出率较低，整体趋势处于下降趋势；但从侵害用户权益

APP的下载量来看，影响面仍较广，这也代表该问题仍需要继续保持治理。在此次检测的发现的主要问题，虽有一部分

APP是自身产生的违规收集个人信息情况，但更多的是由于集成了第三方

SDK导致。因此我们也建议一方面第三方

SDK厂商在整改后，在如何更好的引导

APP开发者按新版按要求更快速更便捷的进行升级解决做的更好，在做好自己的这个点的同时，也能和

APP开发者这个上游点能联动形成一条安全线。另一方面

APP开发者也要有相应的个人信息安全意识，按照国家法律法规，不进行违规收集个人信息。10附录

奇安信病毒响应中心奇安信病毒响应中心是北京奇安信科技有限公司（奇安信集团）旗下的病毒鉴定及响应专业团队，背靠奇安信核心云平台，拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验，基于集团自主研发的

QOWL和

QDE（人工智能）引擎，形成跨平台木马病毒、漏洞的查杀与修复能力，并且具有强大的大数据分析以及实现全平台安全和防护预警能力。奇安信病毒响应中心负责支撑奇安信全线安全产品的病毒检测，积极响应客户侧的安全反馈问题，可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒事件、参与重大活动安全保障工作，受到客户的高度认可，提升了奇安信在业内的品牌影响力。11附录

奇安信病毒响应中心移动安全团队奇安信病毒响应中心移动安全团队一直致力移动安全领域及

Android安全生态的研究。目前，奇安信的移动安全产品除了可以查杀常见的移动端病毒木马，也可以精准查杀时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件。通过其内部分析系统可以有效支持对溯源分析等追踪。团队结合自研

QADE

引擎和高价值移动端攻击发现流程已捕获到多起移动攻击事件，并发布了多篇移动黑产报告，对外披露了多个

APT组织活动。近四年来已首发披露五个全新

APT组织（诺崇狮组织

SilencerLion、利

刃鹰组织

BladeHawk、艾叶豹组织

SnowLeopard、金刚象组织VajraEleph和沙猁猫组织

Caracal

Kitten）。未来我们还会持续走在全球移动安全研究的前沿，第一时间追踪分析最新的移动安全事件、对国内移动相关的黑灰产攻击进行深入挖掘和跟踪，为维护移动端上的网络安全砥砺前行。12附录

奇安信移动安全产品介绍奇安信移动终端安全管理系统（天机）是面向公安、司法、政府、金融、运营商、能源、制造等行业客户，具有强终端管控和强终端安全特性的移动终端安全管理